議会は、大手IT企業がメルトダウン/スペクターの禁輸期間をどのように管理したかを知りたいと考えている
トム・クレイジット著
それに時間はかからなかった。米国下院のエネルギー・商業委員会のリーダーたちは水曜日、メルトダウンとスペクターのチップ設計欠陥への対応に関わった6社のCEOに書簡を送り、そのプロセスがどのように調整されたのか、そしてもっと多くの企業に問題について知らせるべきだったかどうかを尋ねた。
「このような重大な脆弱性は、開示と秘密保持の間で難しいトレードオフを生み出すことを認識しています。時期尚早な開示は、緩和策が開発・導入される前に悪意のある攻撃者に脆弱性を悪用する時間を与えてしまう可能性があるためです。しかし、今回の状況は、複数当事者による協調的な脆弱性開示について、さらなる精査の必要性を示していると考えています」と、委員会はAmazon、AMD、ARM、Apple、Google、Intel、Microsoftに送った同一の書簡の中で述べています。Googleが2017年6月にIntelに対し、世界のほぼすべてのコンピューターで使用されているチップに重大なセキュリティホールを発見したと報告した後、6社は6ヶ月間、秘密裏に協力し、欠陥の理解と回避策の模索に取り組みました。
セキュリティ上の欠陥に対処する際にこのような手法は珍しくなく、一般的にはむしろ良いことです。もしGoogleが2017年6月にその情報をインターネット上に公開していたら、悪意のあるハッカーが修正プログラムが適用される前にセキュリティホールを悪用する方法を見つけていた可能性は十分にあります。
しかし、議会は、他の多くの有力テクノロジー企業が秘密裏に行われたプロセスによって不利な立場に置かれ、禁輸措置の期限切れ数日前にThe Register紙の報道を受けてIntelとGoogleが突然このニュースを発表したことに不意を突かれたことを懸念している。この書簡では、Digital Oceanの最高セキュリティ責任者であるジョシュ・フェインブラム氏がブログに投稿した、この状況への不満を表明する投稿を引用している。「残念ながら、Intelによる厳格な禁輸措置により、潜在的な影響を包括的に把握する能力が大幅に制限されています。」
「より多くの製品やサービスがつながるようになるにつれ、単独の企業、あるいは単独のセクターでさえ、自社の製品とユーザーを十分に保護することは不可能になる。…この現実は、メルトダウンとスペクターの脆弱性に関する情報制限だけでなく、サイバーセキュリティの脆弱性全般に関する情報制限についても深刻な疑問を投げかける」と委員会は述べている。
書簡を受け取った企業は、2月7日までに、禁輸措置のプロセスがどのように設定され、管理されたかについてのいくつかの質問に回答する必要があります。書簡全文はこちらでご覧いただけます。
